信息安全 来源:securityonline 2026-01-14 05:01:30 阅读:0
网络安全与基础设施安全局(CISA)已在“必须修补”列表中新增了一项危险漏洞,警告称全球开发者广泛使用的一款热门工具正被积极利用,以入侵网络。该漏洞,被追踪为CVE-2025-8110,影响广泛部署的自托管Git服务Gogs。
CVE-2025-8110尤其狡猾之处在于,它绕过了此前的一项安全修复。这一漏洞的CVSS严重性评分为8.7,属于高危级别,允许攻击者绕过为先前的远程代码执行(RCE)漏洞CVE-2024-55947所采取的防护措施。
该攻击向量利用了“符号链接绕过”漏洞。尽管最初的补丁试图阻止恶意文件操作,但却未能考虑到这种特定的攻击方式。因此,经过身份验证的用户可利用路径遍历技术,覆盖指定存储库目录之外的文件。
从实际角度来看,这使得一名恶意用户——或已攻陷低级别开发者账户的攻击者——能够逃离应用程序的沙箱,并在底层服务器上执行任意代码。
该漏洞于2025年7月10日首次被Wiz Research的研究人员确认为一个活跃的零日漏洞。自那以来,已有越来越多的证据表明该漏洞正被积极利用,促使美国网络安全和基础设施安全局采取了干预措施。
由于Gogs采用Go语言编写,且设计轻量级,它已成为GitLab或GitHub Enterprise等重量级平台的热门替代方案。它经常被部署于本地数据中心和云环境。至关重要的是,作为一款协作工具,这些实例通常会暴露在公共互联网上,从而成为扫描器和自动化漏洞利用脚本的可攻击目标。
联邦文职行政机构(FCEB)各机构已被设定严格期限,须于2026年2月2日前确保其服务器安全或彻底断开连接。
运行Gogs的组织应假定其实例是攻击目标。强烈建议管理员立即检查最新的安全更新,并尽可能确保其部署环境与开放互联网隔离。
微软显然已意识到微软激活脚本(MAS)这一广受欢迎的开源工具;此外,该公司似乎也清楚地了解到,有恶意行为者正在注册虚假域名,以MAS的名义传播恶意软件。因此,微软已部署 Microsoft Defen
电话:188-8877-1003
邮箱:Sales@knowsafe.com
地址:四川省成都市高新南区天府大道北段1700号
时间:周一到周日: 早9点 – 晚21点